Zurück   Trojaner-Board > Web/PC > Alles rund um Windows

Alles rund um Windows: Tor Reste in Registry

Windows 7 Hilfe zu allen Windows-Betriebssystemen: Windows XP, Windows Vista, Windows 7, Windows 8(.1) und Windows 10 - als auch zu sämtlicher Windows-Software. Alles zu Windows 10 ist auch gerne willkommen. Bitte benenne etwaige Fehler oder Bluescreens unter Windows mit dem Wortlaut der Fehlermeldung und Fehlercode. Erste Schritte für Hilfe unter Windows.

Antwort
Alt 26.02.2008, 13:55   #1
harlud
 
Tor Reste in Registry - Standard

Problem: Tor Reste in Registry



Hallo! Ich versuche sei 1 Woche das Vidalia-bundle ans Laufen zu bekommen. Obwohl ich mich an die Installationnsanweisundgen halte, läuft entweder Tor oder Privoxy oder gar nichts. Als Grund kommt möglicherweise eine fehlerhafte Deinstallation eines frühen Versuches infrage. Jedenfalls gibt es einen Eintrag bei Hijackthis (letzte Zeile), der sich auf solche Reste bezieht und sich nicht dauerhaft löschen lässt: Killbox hilft nicht, ebensowenig Fix beim HijachThis-File im abgesicherten Modus. Die Suchläufe mit Antivir und Spybot ergaben keinen Malware-Verdacht. Der Computer läuft wie sonst. Manchmal braucht Services.exe etwas lange für sich selber. Das ist aber schon länger so und stört nur manchmal.
Mein Betriebssystem Windows 2000, mein Browser Firefox
Mein HijackThis-Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:34:06, on 26.02.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Privoxy\privoxy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Privoxy.lnk = C:\Programme\Privoxy\privoxy.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201448707180
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1203713975375
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Tor Win32 Service (tor) - Unknown owner - D:\Programme\Vidalia Bundle\Tor\tor.exe (file missing)

--
End of file - 4588 bytes
Meine Fragen: Wie bekomme ich den letzten Eintrag weg? Ist der Eintrag der Grund für meine Probleme mit der Installation des Vidalia Bundle? Ists eventuell Teil/Spur einer Malware? Vielen dank unf freundliche Grüße harlud

Alt 26.02.2008, 17:43   #2
ordell1234
 
Tor Reste in Registry - Standard

Tor Reste in Registry Anleitung / Hilfe



023-Einträge solltest du nicht fixen, siehe hjt-Anleitung. Sauberer wäre je nach Installation (hast du das bundle von torproject.org?), das bundle neu zu installieren und die uninstall-routine zu nehmen. Anschließend starte neu und entferne noch den privoxy - ebenfalls per uninstaller.

Warum tor nicht läuft, weiß ich nicht, ist auch nicht mein Steckenpferd. Die faq auf den Seiten sollten weiter helfen, u.U. funkt sygate dazwischen.
__________________


Alt 26.02.2008, 21:09   #3
harlud
 
Tor Reste in Registry - Standard

Tor Reste in Registry Details



Hallo Ordell1234!
Danke für die Antwort! Ich habe schon vor meiner Frage hier das Bundle von der Vidalia Homepage neu installiert und wieder deinstalliert. Der Eintrag bei O23 ist geblieben. Ich habe eben nach der Anleitung von HijachThis hier im Board im abgesicherten Modus über Start-Ausführen-Services.msc Rechtsklick Remote Prozeduraufruf Starttyp deaktiviert. Der Dienststatus war aktiv, die Buttons zum Deaktivieren waren inaktiv deswegen konnte ich den Dienststatus nichtb deaktivieren. Ein neuer Versuch die o.a.Zeile mit HijachThis zu fixen war erfolglos.
Als neues Problem ist jetzt dazugekommen, daß ich das Fenster Services.msc nicht merhr schließen konnte. Es kam die Aufforderung, erst alle aktiven Prozesse zu schließen. Allerdings kann ich seither die Prozesse z.B Remote Prozeduraufruf nicht mehr öffnen. Es wird als deaktiviert angezeigt. das Fenster von Sevices.msc musste ich mit dem Taskmanager schließen. Allerdings läuft der Computer bislang ohne Probleme. Auch Privoxy läuft gut. Eine Zurücksetzung auf den 09.02.2008 hat am Problem nicht geändert. Beim Aufruf des Assistenten kam allerdings die Warnung: " Die Verbindung mit dem Wechselmediendienst kann nicht hergestellt werden.....". Die Wiederherstellung selber lief aber wie gewohnt, allerdings ohne den gewünschten Erfolg.
Meine Fragen:
Wie wichtig ist ein aktiver Remote Prozeduraufruf?
Wie komme ich wieder in den Remote Prozeduraufruf hinein um ihn zu aktivieren?
Wie kann ich den alten Eintrag in O23 löschen.
Soll ich den Eintrag überhaupt löschen?
Danke für eine Antwort. Viele Grüße harlud
__________________

Alt 26.02.2008, 22:19   #4
ordell1234
 
Tor Reste in Registry - Standard

Lösung: Tor Reste in Registry



Zitat:
Zitat von harlud Beitrag anzeigen
Ich habe schon vor meiner Frage hier das Bundle von der Vidalia Homepage neu installiert und wieder deinstalliert.
Das bundle ist mit dem von torproject identisch. Versuche, es neu zu installieren und unter Einstellungen -> Fortgeschrittene -> als Dienst installieren zu aktivieren, Neustart, wieder deaktivieren (Häkchen raus), Neustart. Danach Tor+Privoxy komplett deinstallieren.
Funtioniert das nicht: Start-Ausführen-regedt32.exe, suche den Schlüssel
Zitat:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor
und lösche ihn. Aber erst!, wenn Tor deinstalliert ist und nichts! anderes.

Zitat:
Ich habe eben nach der Anleitung von HijachThis hier im Board im abgesicherten Modus über Start-Ausführen-Services.msc Rechtsklick Remote Prozeduraufruf Starttyp deaktiviert.
Jackpot! In der Anleitung steht "z.B.", das heißt nicht, du sollst RPC deaktivieren. cidre hätte besser einen anderen Dienst ausgesucht, zB die Druckwarteschlange, und ich hätte dazu schreiben sollen: Schau in die Anleitung, aber kille nicht den rpc.
Zitat:
Der Dienststatus war aktiv, die Buttons zum Deaktivieren waren inaktiv deswegen konnte ich den Dienststatus nichtb deaktivieren.
Wie hast du es überhaupt geschafft, rpc über den Jordan zu kicken? Egal. Wenn sich die Diensteverwaltung nicht mehr öffnen läßt, wird's kritisch. Speichere unten stehenden Text als rpcSs.reg und doppelklicke darauf. Bei der Frage, ob die Infos der Reg hinzugefügt werden sollen, bestätige. Neustart, berichte - möglichst genau - was sich tut.
Code:
ATTFilter
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs]
"Description"="Endpunktzuordnung und andere verschiedene RPC-Dienste."
"DisplayName"="Remoteprozeduraufruf (RPC)"
"ErrorControl"=dword:00000001
"Group"="COM Infrastructure"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,20,00,2d,00,6b,00,20,00,72,00,70,00,\
  63,00,73,00,73,00,00,00
"ObjectName"="NT AUTHORITY\\NetworkService"
"Start"=dword:00000002
"Type"=dword:00000020
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,\
  00,02,00,00,00,60,ea,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  72,00,70,00,63,00,73,00,73,00,2e,00,64,00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Security]
"Security"=hex:01,00,14,80,a8,00,00,00,b4,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,78,00,05,00,00,00,00,00,14,00,8d,00,02,00,01,01,00,00,00,00,00,\
  05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,18,00,8d,00,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,\
  02,00,00,00,00,14,00,9d,00,00,00,01,01,00,00,00,00,00,05,04,00,00,00,00,00,\
  18,00,9d,00,00,00,01,02,00,00,00,00,00,05,20,00,00,00,21,02,00,00,01,01,00,\
  00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Enum]
"0"="Root\\LEGACY_RPCSS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
         
Zitat:
Wie wichtig ist ein aktiver Remote Prozeduraufruf?
Wenn ich in die Abhängigkeiten des Dienstes schaue: sehr wichtig. rpc legt die Grundlage für die Netzwerkfunktionalität in Windows. Wenn dich der Hafer sticht und du Näheres wissen willst:
Netzwerk Know-how (tecCHANNEL COMPACT): Kapitel 9
Zitat:
Soll ich den Eintrag überhaupt löschen?
Wenn Tor als Dienst laufen soll, dann nicht, allerdings würde es mir nicht passen, wenn der registryeintrag bleibt, obwohl Tor entweder gar nicht installiert oder nicht als Dienst konfiguriert ist. Bevor du aber noch mehr zerschießt, lass es besser, ist dann eher ein optisches Problem im HJT-log.

Good luck!

Alt 26.02.2008, 22:47   #5
harlud
 
Tor Reste in Registry - Standard

Wie Tor Reste in Registry



Hallo Ordell1234! Danke für die Antwort!
Mir hat mal ein Chef gesagt:" Komplikationen sind dazu da, daß man sie beherrscht." Schön wärs. Ich werd mich morgen weiter damit beschäftigen. Wäre es eventuell eine Alternative, mit der Windows Programm CD eine Neu-/Reparatur-Installation zu machen?? Mir ist bewußt, daß dann alle Windows Patches futsch sind. Nun gut. Noch leben wir. Obwohl Dein "Good Luck!" wie ein letzter Gruß vor einem Himmelfahrtskommando klingt. Komm chudd to liggen! harlud


Alt 27.02.2008, 14:53   #6
harlud
 
Tor Reste in Registry - Standard

Wo Tor Reste in Registry Lösung!



Hallo ordell1234!
Der Eintrag ist weg. Danke soweit! Auszug aus HijachThis:
.........
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201448707180
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1203713975375
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 4611 bytes

Allerdings kann ich den Text für rpcSs.reg nicht kopieren. Er läßt sich markieren aber läßt sich nicht in einen Editor verschieben. Gibt es einen Weg, den o.a. Text für den Computer verfügbar zu machen, z.B. durch Versand als email-Anhang?
Viele Grüße harlud

Alt 27.02.2008, 16:52   #7
ordell1234
 
Tor Reste in Registry - Standard

Tor Reste in Registry



So, vierter Versuch einer Antwort, da ich solidarisch ebenfalls den rpc abgewürgt habe. Das rockt überhaupt nicht!

Im Anhang findest du rpcss.txt, speichere sie als .reg. Die Regdatei stammt von einem XP. Ich glaube nicht, dass Win2000 Probleme macht, aber geht das Ding gegen den Baum, stehen wir beide doof da. Deshalb:

- Lade dir erunt.zip (nicht den Installer .exe), speicher das Archiv auf dem Desktop. Ich hoffe, wenigstens die zip-Funktion ist dir geblieben, ansonsten nimm diesen link.

- Drucke die liesmich aus, sie enthält wichtige Infos zur Wiederherstellung deiner Registry

- Starte erunt.exe und speichere die Regdaten an einem Ort, den du wiederfindest

- erst jetzt doppelklicke auf rpcss.reg

- starte neu und hoffe

- funzt das nicht, bleibt vorerst nur eine Reparaturinstallation über die Windows-CD


Wenn der Laden soweit wieder läuft, lade dir autoruns. Das tool listet und verifiziert deine Autostarteinträge, u.a. auch die Dienste. Entpacke das Archiv, speichere autorunsc.exe auf dem Desktop. Sygate wird bei der online-Verifizierung meckern, gestatte autorns den Zugriff ins Netz.

- speichere autoruns.txt als .bat und führe die batch aus, auf dem Desktop sollte anschließend autoruns.log liegen

- lade die autoruns.log bitte bei file-upload.net hoch und poste den Downloadlink (ins Board kannst du sie nicht stellen, dafür ist die Ausgabe zu groß)
Zitat:
Zitat von harlud Beitrag anzeigen
Komm chudd to liggen! harlud
Klär mich doch bitte über diesen niederländischen Insider auf, Google streikt jämmerlich.

Grüße
Angehängte Dateien
Dateityp: txt autoruns.txt (193 Bytes, 265x aufgerufen)

Geändert von ordell1234 (27.02.2008 um 17:02 Uhr)

Alt 27.02.2008, 19:25   #8
harlud
 
Tor Reste in Registry - Standard

Tor Reste in Registry



Hallo ordell1234! Download funktioniert, Drucker nicht. Ich werd mir Dein Posting in aller Ruhe mit dem Kuli abschreiben und dann abarbeiten. Tut mir Leid mit Deinen solidarischen Probeschüssen.
" Komm chudd to liggen!" sollte sauerländisches Platt sein (ich wohne hier, bin aber zugereist) und heißt:" Komm gut zu liegen!", soviel wie Gute Nacht.
Zur Art meines eigenen Abschusses: Nach dem Rechtsklick auf Remote Prozeduraufruf und Deaktivieren des Starttyps kam ich aus dem Fenster nicht mehr heraus und musste es mit dem Taskmanager schließen. Warnung, die Datei sei aktiv, beim Schließen gingen eventuell Daten verloren. War ja auch nicht gelogen.Bis später harlud

Alt 27.02.2008, 20:25   #9
harlud
 
Tor Reste in Registry - Standard

Tor Reste in Registry



Hallo ordell1234! Die rpcSs-Datei liegt als Textdatei im Editor auf dem Desktop und hat mit "Umbenennen" den Anhang .reg bekommen. Beim Doppelklick benimmt sie sich aber weiter wie eine Textdatei, öffnet sich und sonst nichts. Wenn man die Datei mit dem Internetexplorer öffnet, sieht man, daß sie rpcSs.reg.txt heißt. Wie kann ich das abschalten? Ich suche schon mal im Board, ein Hinweis wäre aber trotzdem ganz schön. Viele Grüße harlud

Alt 27.02.2008, 20:57   #10
ordell1234
 
Tor Reste in Registry - Standard

Tor Reste in Registry [gelöst]



Im Windows-Explorer unter Extras-Ordneroptionen-Ansicht- Erweiterungen bei bekannten Dateien ausblenden -> Haken raus. (empfiehlt sich sowieso diese Einstellung)

oder per Eingabeaufforderung:

Start-Ausführen-cmd:
- navigiere zum Verzeichnis, in dem die Datei liegt (falls auf dem Desktop, dann über cd "%userprofile%"\desktop)
- ren rpcss.reg.txt rpcss.reg

Analog für autoruns.txt in autoruns.bat

Grüße

Alt 27.02.2008, 22:21   #11
harlud
 
Tor Reste in Registry - Standard

Tor Reste in Registry [gelöst]



Hallo ordell1234! Ich habe rpSs.txt erfolgreich in .reg umgewandelt. Ich habe erunt.zip heruntergeladen, entzippt und ausgeführt. Die Datei liegt im Laufwerk E. Ich habe rpcSs.reg ausgeführt und den Computer neu gestartet. Der Eintrag Remoteprozeduraufruf steht jetzt auf automatisch. Dahinter steht NT Authotity\NetworkService sonst überall Local System. Die übrigen gestörten Funktionen gehen immer noch nicht (kopieren, Drucker,..?). Beim Ausführen von autoruns wird eine Tabelle angezeigt, von der man ein File speichern kann. Diese datei als Batch ausgeführt ergibt rund 50-100 Einträge, die rasendschnell durchlaufen. Wenn man sie anhält, steht da immer so was wie:
" C:\Dokumente und Einstellungen\Administrator\Desktop\Autoruns>+ sysimage
Microsoft (R) HTML-Viewer Microsoft Corporation c:\winnt\system32\mshtml.dll
Der Befehl "+" ist entweder falsch oder konnte nicht gefunden werden. Das autoruns.log auf dem Desktop ist leer. Was tun? Hat windows 200 doch ein anderes rpcSs-reg? Kann man das von der Windows CD herunterladen oder hat es jemand im Board? Vielen Dank jedenfalls für deine Hilfe, ich hoffe, daß Dein Computer jedenfalls wieder läuft. Für mich befürchte ich, daß die Reparaturinstallation die einzige sinnvolle Lösung ist. Zum Glück wird dieser Computer nicht beruflich genutzt. Gibt es eine Möglichkeit die Sicherheitsupdates von Windows zu erhalten? Viele Grüße und angenehmes Flohbeißen(*) harlud (*) Das sagte mein schwäbischer Schwiegervater als Gute Nacht Gruß

Alt 27.02.2008, 23:57   #12
ordell1234
 
Tor Reste in Registry - Standard

Tor Reste in Registry [gelöst]



Jep, ärgerlich. Es kann durchaus sein, dass Win2000 andere Werte in die Registry schreibt.
Schon probiert, über die Eingabeaufforderung "net start rpcss" den Prozess zu starten? Sollte sich der Quälgeist dazu bewegen lassen, versuche in der Dienstverwaltung seinen Start auf automatisch zu setzen und die Anmeldung auf Lokales System (so jedenfalls lautet der Standard). Hier noch ein link (letzter Beitrag). Ob der Hinweis was taugt... wird sich schnell zeigen. Sonst bleibt wohl nur die Reparaturinstallation. Sry.

Zu den Patches: Es empfiehlt sich, die Updatepacks ausschließlich von M$ zu beziehen. Da Internet noch läuft, für dich kein Problem. Downloaddetails: Netzwerkinstallation von Windows 2000 Service Pack 4 für IT-Experten

runterladen und offline, also nicht über das Internet einspielen

Es gibt wohl noch weitere Updates, wie zB ein Rollup SP4; ich vermute, das benötigst du auch. In jedem Fall: Die Updateseite von M$ sollte das erste sein, was du mit dem neuen System ansurfst.

btw: mit den offlinepacks von winhelpline hatte ich noch keine Probleme, sieh es aber nur als Hinweis, nicht als Empfehlung.


zur autoruns-batch: Irgendwas ist schief gelaufen . Nun, wir gewöhnen uns dran. Hast du die autorunsc.exe (NICHT autoruns.exe) auf dem Desktop gespeichert? Ich schau es mir morgen nochmal an, das Problem ist aber sekundär, solange rpc nicht läuft (ansonsten lade einfach die Datei hoch, die du gespeichert hast und die 3 Mrd. Einträge enthält).

Gute Nacht, und merci für die Einführung in schwäbisch-sauerländische Gefilde



edit: zur autoruns: vermutlich hast du über die grafische Oberfläche eine Datei gespeichert und versucht als batch auszuführen. Das wird nix. Lade einfach die gespeicherte Datei hoch. Mit autoruns.txt meinte ich meinen zweiten Anhang in obigem Posting.

edit2: Mein Vorschlag mit der regdatei war wohl nicht das Gelbe vom Ei. Gehe in den Ordner, in dem du die Sicherung der Registry angelegt hast (unter E:\) und spiele die Sicherung über erdnt.exe zurück. Neustart. Öffne die Registry über start-Ausführen-regedt32 und suche den Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs. Trage unter "Start" durch Doppelklick eine "2" ein. Starte neu.

Geändert von ordell1234 (28.02.2008 um 00:32 Uhr)

Alt 28.02.2008, 13:25   #13
harlud
 
Tor Reste in Registry - Standard

Tor Reste in Registry [gelöst]



Hallo ordell1234! Ich hatte offenbar das falsche autoruns.bat gestartet, nämlich das selber erzeugte von autoruns: save File. Dabei gab es kein Log. Jetzt habe ich das Log erzeugt und wie von Dir gewünscht hochgeladen. Die Linkadresse ist (mit dem Kugelschreiber abgeschrieben):
HTTP://www.file-upload.net/download-694971/autoruns.log.HTML
Ich hoffe, es ist kein Schreibfehler drin.
Für den Vorschlag edit2 nehme ich mir später Zeit. bis dann viele Grüße harlud

Alt 28.02.2008, 14:32   #14
harlud
 
Tor Reste in Registry - Standard

Tor Reste in Registry [gelöst]



Hallo ordell1234!
Ich habs nicht bis heute abend ausgehalten, habe also auch edit2 noch durchgeführt: es läuft!! seit der Umstellung in :
"edit2: Mein Vorschlag mit der regdatei war wohl nicht das Gelbe vom Ei. Gehe in den Ordner, in dem du die Sicherung der Registry angelegt hast (unter E:\) und spiele die Sicherung über erdnt.exe zurück. Neustart. Öffne die Registry über start-Ausführen-regedt32 und suche den Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\RpcSs. Trage unter "Start" durch Doppelklick eine "2" ein. Starte neu." (dieses war eine Kopie aus Deinem Schriftsatz!) läufts wieder. Der Drucker druckt, das Kopieren kopiert usw. Vielen Dank! Trotzdem eine Frage: was genau war der Fehler? Viele Grüße harlud

Alt 28.02.2008, 17:04   #15
ordell1234
 
Tor Reste in Registry - Standard

Tor Reste in Registry [gelöst]



Zitat:
Zitat von harlud Beitrag anzeigen
Trotzdem eine Frage: was genau war der Fehler? Viele Grüße harlud
"Nicht-das-Gelbe-vom-Ei" war wohl untertrieben, kreuzdämlich ist angemessener. Der Starttyp der Dienste, u.a. Remote Prozedur Call, rpcss, ist in der Registry hinterlegt. Du hast es geschafft, den Dienst zu deaktivieren. Folgende Werte unter Start gelten:

0=Boot
1=System
2=Autostart
3=Manuell
4=Deaktiviert

Bei dir hat schlichtweg das Ändern des Startwertes genügt. War die einfachste und wäre die erste Option gewesen. Anyway, der Laden läuft.

Das Autoruns.log sieht ok aus, dein System macht einen recht aufgeräumten Eindruck.

Grüße ordell

Antwort

Themen zu Tor Reste in Registry
1.exe, adobe, antivir, avira, bho, browser, computer, explorer, firewall, helper, hijack, hijackthis, installation, internet, internet explorer, löschen, malware?, micro, microsoft, mozilla, mozilla firefox, pdf, programme, registry, services.exe, software, system32, vielen dank, windows



Ähnliche Themen: Tor Reste in Registry


  1. Adware reste OTL LOG auswerten
    Log-Analyse und Auswertung - 17.03.2015 (23)
  2. awesomehp hat Reste hinterlassen
    Log-Analyse und Auswertung - 19.03.2014 (15)
  3. BKA Trojaner, Reste übrig
    Plagegeister aller Art und deren Bekämpfung - 08.12.2013 (17)
  4. Verdacht auf Reste vom Gvu Trojaner
    Log-Analyse und Auswertung - 20.03.2013 (7)
  5. Bundestrojaner Schweiz Reste und Registry-Einträge entfernen
    Log-Analyse und Auswertung - 02.08.2012 (11)
  6. Nach Entfernung von Windows Recovery Virus noch Reste in der Registry
    Plagegeister aller Art und deren Bekämpfung - 09.07.2011 (9)
  7. malware (reste) auf dem pc?
    Log-Analyse und Auswertung - 02.01.2011 (9)
  8. Reste von Software
    Alles rund um Windows - 04.12.2009 (0)
  9. Trojaner-Reste in der Registry
    Plagegeister aller Art und deren Bekämpfung - 27.04.2009 (1)
  10. RKIT/DVD.Settec.DLL-- Reste?
    Plagegeister aller Art und deren Bekämpfung - 04.12.2008 (0)
  11. Windows Reste
    Alles rund um Windows - 02.12.2008 (4)
  12. Reste von Vista
    Alles rund um Windows - 31.07.2008 (1)
  13. Reste von ErrorCleaner?
    Log-Analyse und Auswertung - 17.07.2008 (14)
  14. Trace.Registry.Autumn Waterfalls Screen Saver und Trace.Registry.Heavenly Hibiscus
    Plagegeister aller Art und deren Bekämpfung - 29.01.2008 (7)
  15. Reste von SpywareStrike ??
    Log-Analyse und Auswertung - 26.01.2006 (4)
  16. Reste von SPyAxe ???
    Plagegeister aller Art und deren Bekämpfung - 25.01.2006 (3)
  17. Reste von SpySheriff?
    Log-Analyse und Auswertung - 27.12.2005 (1)

Zum Thema Tor Reste in Registry - Hallo! Ich versuche sei 1 Woche das Vidalia-bundle ans Laufen zu bekommen. Obwohl ich mich an die Installationnsanweisundgen halte, läuft entweder Tor oder Privoxy oder gar nichts. Als Grund kommt - Tor Reste in Registry...
Archiv
Du betrachtest: Tor Reste in Registry auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.